Rozporządzenie o Ochronie Danych Osobowych. Aspekty organizacyjno-informatyczne w małych i średnich przedsiębiorstwach

ISSN:1896Ǧ382X|www.wnus.edu.pl/epu DOI:10.18276/epu.2018.131/1Ǧ37|strony:379–388

TomaszTurek

PolitechnikaCz¸stochowska WydziaÏZarz¦dzania KatedraInformatykiEkonomicznej tomasz.turek@wz.pcz.pl

Rozporz¦dzenieoOchronieDanychOsobowych.

AspektyorganizacyjnoǦinformatyczne

wmaÏychiärednichprzedsi¸biorstwach

Kody JEL: K00, K22, L38

Sáowa kluczowe: RODO, GDPR, ochrona danych osobowych, system informatyczny zarządzania Streszczenie. W artykule poruszono podstawowe aspekty wdroĪenia RODO w maáych i Ğrednich

przedsiĊbiorstwach. DuĪe podmioty posiadają zazwyczaj rozbudowane dziaáy prawne i IT, które w profesjonalny sposób dostosują organizacjĊ do nadchodzących zmian. W mniejszych organiza-cjach RODO budzi niepokój i niepewnoĞü. Punktem wyjĞcia w artykule są zmiany, jakie wchodzą w Īycie 25 maja 2018 roku. W dalszej kolejnoĞci wskazano wymagania dla systemów informa-tycznych pod kątem ochrony danych osobowych. Trzecia czĊĞü artykuáu wskazuje na potencjalne rozwiązania, które są stosowane w tym zakresie.

Wprowadzenie

25 maja 2018 roku wchodzi w Īycie Rozporządzenie o Ochronie Danych Osobo-wych, okreĞlane skrótem RODO. Rozporządzenie to zmienia istniejącą dotychczas ustawĊ o ochronie danych osobowych. PrzeobraĪenia wynikające z RODO są przez niektórych okreĞlane jako najwiĊksze zmiany w prawie po 1989 roku. Nadchodzące zmiany budzą niepokój wĞród przedsiĊbiorców, instytucji rządowych i samorządowych, szkóá, placówek sáuĪby zdrowia oraz innych podmiotów przetwarzających dane osobo-we. Niepokój i niepewnoĞü są wykorzystywane przez firmy szkoleniowe, które organi-zują wiele konferencji i warsztatów poĞwiĊconych temu tematowi. Poruszana tematyka jest aktualna i waĪna. JednakĪe wiĊkszoĞü z organizowanych szkoleĔ dotyczy raczej

warstwy organizacyjnej i prawnej, natomiast warstwa informatyczna nie jest dostatecz-nie eksplorowana.

Celem artykuáu jest zaprezentowanie podstawowych aspektów organizacyjnych i informatycznych, wynikających z wdroĪenia RODO. Uwaga w szczególnoĞci zostanie skupiona na maáych i Ğrednich przedsiĊbiorstwach, gdyĪ te podmioty mają najwiĊksze problemy, wynikające z dostosowania systemów informatycznych do nowych wymo-gów. DuĪe firmy posiadają zazwyczaj rozbudowane dziaáy prawne oraz menedĪerów IT, którzy w profesjonalny sposób zaadoptują zmiany w prawie w obszarze informatyki. PrzedsiĊbiorstwa maáe i Ğrednie czĊsto nie są Ğwiadome, czy RODO ich dotyczy, jakie kroki powinny podjąü w warstwie organizacyjnej i informatycznej w tym aspekcie. RozwaĪania zawarte w artykule bazują na tekĞcie rozporządzenia, projekcie usta-wy o ochronie danych osobousta-wych oraz komentarzach i interpretacjach ekspertów. Po-nadto wykorzystano wiedzĊ i doĞwiadczenie zdobyte w projektach związanych z mo-dernizacją i konstrukcją systemów informatycznych przedsiĊbiorstw pod kątem RODO.

1.CozmieniaRODO?

Jeszcze przez kilka miesiĊcy w polskim prawie obowiązuje ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych (Ustawa, 1997). Ustawa ta jest implementacją dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE (Dyrektywa, 1995). Zawie-ra definicje podstawowych terminów odnoszących siĊ do dziedziny danych osobowych, ustala zasady zbierania, gromadzenia, przechowywania i udostĊpniania danych osobo-wych. OkreĞla zasady i warunki zgodnoĞci przetwarzania danych osobowych z prawem oraz prawa osób, których dane dotyczą. Obecnie polski i europejski system prawny jest w trakcie reformy danych osobowych. Reforma ta ma na celu ujednolicenie stopnia ochrony danych we wszystkich paĔstwach czáonkowskich UE, umoĪliwienie swobod-nego przepáywu danych osobowych w ramach Unii Europejskiej oraz zapewnienie przejrzystoĞci przepisów. Ponadto obowiązująca dyrektywa oraz ustawa mają juĪ ponad 20 lat. Ich twórcy i ustawodawcy nie byli w stanie przewidzieü daleko idącego rozwoju technologii informacyjno-komunikacyjnych, powstawania nowych usáug internetowych (Web 2.0, Web 3.0, Web 4.0), pojawiania siĊ nowych produktów telekomunikacyjnych (w postaci innowacji produktowych czy procesowych – Budziewicz-GuĨlecka, 2009, s. 520) oraz ciągle wzrastającej roli zasobów informacyjnych, w tym danych osobo-wych, w organizacjach wszelkiego typu – przedsiĊbiorstwach komercyjnych, urzĊdach, szkoáach itp. Internet stanowi siáĊ napĊdową nowej gospodarki, stwarzając wiel szans, ale i zagroĪeĔ, zwáaszcza w kontekĞcie danych osobowych, które to powinny byü objĊte szczególną ochroną (Drab-Kurowska, 2013, s. 509).

Zmiana przepisów nie jest wiĊc nagáą rewolucją, lecz odpowiedzią na ciągle zmieniające siĊ warunki prowadzenia dziaáalnoĞci gospodarczej, spoáecznej itp.

Nowe Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z

przetwarza-niem danych osobowych i w sprawie swobodnego przepáywu takich danych oraz uchy-lenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – okreĞlane skrótem RODO – bĊdzie miaáo zastosowanie od dnia 25 maja 2018 roku. Do tego czasu kaĪde z paĔstw czáonkowskich zobowiązane jest do zapewnienia jego skutecznego stosowania w swoim porządku prawnym poprzez przyjĊcie wáaĞciwych przepisów we-wnĊtrznych. W ramach realizacji tej kompetencji Minister Cyfryzacji przygotowaá pro-jekt nowej ustawy (Ustawa, 2017) o ochronie danych osobowych oraz zmian w przepi-sach sektorowych. PodjĊte dziaáania legislacyjne, zgodnie z zasadami prawa Unii Euro-pejskiej, opieraáy siĊ na zaáoĪeniu, Īe nowa ustawa o ochronie danych osobowych bĊ-dzie zawieraáa wyáącznie przepisy, które zostaáy przez prawodawcĊ unijnego wprost przekazane do uregulowania w prawie krajowym oraz takich, w których rozporządzenie 2016/679 pozostawiáo pewną swobodĊ regulacyjną poszczególnym paĔstwom czáon-kowskim (Ustawa – Ocena, 2017). Na chwilĊ obecną nie ma ostatecznego tekstu usta-wy. NaleĪy mieü nadziejĊ, Īe zostanie on opublikowany wraz z aktami wykonawczymi do 25 maja 2018 roku.

Skutkiem rozporządzenia bĊdzie zakazanie stosowania rozwiązaĔ nieprzewidzia-nych w rozporządzeniu i niepozostawionieprzewidzia-nych wyraĨnie do uregulowania w prawie kra-jowym. WĞród wielu zapisów RODO najwaĪniejszymi wydają siĊ byü prawa osób, których dane dotyczą oraz obowiązki administratora. WĞród praw osób, której dane dotyczą, RODO w Rozdziale III wyróĪnia: uprawnienia informacyjne, prawo dostĊpu do danych, prawo sprostowania danych, prawo do usuniĊcia danych (prawo do bycia zapomnianym), prawo do ograniczonego przetwarzania, prawo do sprzeciwu, prawo do niepodlegania automatycznym decyzjom indywidualnym. NajwaĪniejszymi obowiąz-kami administratora (RODO – Rozdziaá IV) są: ochrona danych w fazie projektowania, domyĞlna ochrona danych, powierzenie przetwarzania danych, rejestrowanie czynnoĞci przetwarzania.

Zadaniem RODO jest wiĊc znaczące rozszerzenie formuáy zabezpieczenia intere-sów obywateli, poprzez obowiązek informowania administratora danych osobowych (tzw. ADO) o zakresie przetwarzania danych, procesach przetwarzania, okresie prze-twarzania, juĪ na etapie pozyskiwania danych. Ponadto zmianie podlegają nastĊpujące obszary:

 wprowadzenie roli inspektora ochrony danych osobowych (tzw. IOD, IODO),  wprowadzenie rejestru czynnoĞci przetwarzania,

 zmianĊ statusu i roli GIODO – Generalnego Inspektora Ochrony Danych Oso-bowych,

 system kar.

Aktualny stan prawny wynikający z ustawy o ochronie danych osobowych nie przewiduje obligatoryjnego powoáywania administratora bezpieczeĔstwa informacji (ABI). ABI w przedsiĊbiorstwie powoáywany jest w sposób uznaniowy. Nowe rozpo-rządzenie wyraĨnie zmienia to podejĞcie. Po pierwsze, w myĞl RODO, miejsce

admini-stratora danych zajmuje Inspektor Ochrony Danych – tzw. IOD. Rozporządzenie wska-zuje trzy sytuacje, w których powoáanie IOD jest obligatoryjne:

 organ jest podmiotem administracji publicznej,

 gáówna dziaáalnoĞü administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze wzglĊdu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na duĪą skalĊ,

 gáówna dziaáalnoĞü administratora lub podmiotu przetwarzającego polega na przetwarzaniu na duĪą skalĊ szczególnych kategorii danych osobowych. NaleĪy zwróciü uwagĊ na fakt, Īe inspektor danych osobowych nie jest organem decyzyjnym w przedsiĊbiorstwie (organizacji). Jego zadaniem jest rekomendowanie okreĞlonych rozwiązaĔ, tworzenie polityki pod kątem ochrony danych. Organem decy-zyjnym pozostaje administrator danych osobowych (pracodawca). To na niego spada obowiązek ochrony danych oraz wszelka odpowiedzialnoĞü w tym zakresie. Dane kon-taktowe IOD muszą byü publikowane przez przedsiĊbiorstwo, np. na firmowej stronie WWW.

Obowiązek powoáywania IOD budzi wiele kontrowersji związanych z pojĊciami „gáówny przedmiot dziaáalnoĞci”, „duĪa skala” oraz „regularne i systematyczne monito-rowanie”. Terminy te są jednak szeroko opisywane w licznych artykuáach i wyjaĞniane na warsztatach i szkoleniach RODO.

Kolejnym wskazanym obszarem jest rejestr czynnoĞci przetwarzania RCP. Do-tychczas w uzasadnionych przypadkach, opisanych w ustawie, przedsiĊbiorcy mieli obowiązek rejestracji w GIODO okreĞlonych zbiorów danych osobowych. RCP jest nowym pojĊciem. NaleĪy przez to rozumieü klasyfikowanie przetwarzania danych ze wzglĊdu m.in. na: zakres przetwarzania danych, cele przetwarzania, kategorie osób, których dane dotyczą, oraz – jeĞli to moĪliwe – Ğrodki bezpieczeĔstwa.

W odniesieniu do maáych i Ğrednich przedsiĊbiorstw istnieją róĪnice w interpreta-cji przepisów odnoĞnie do RCP. Niektóre publikacje wskazują, Īe mimo obowiązku ochrony danych osobowych, który bezwzglĊdnie dotyczy wszystkich, prowadzenie rejestru nie jest obowiązkowe dla maáych i Ğrednich przedsiĊbiorstw: „Mniejsi przed-siĊbiorcy – wszyscy zatrudniający mniej niĪ 250 pracowników bĊdą zwolnieni takĪe z rejestrowania czynnoĞci przetwarzania danych. Wyáączenie co do prowadzenia reje-stru obowiązuje jednak tylko wtedy, gdy nie są to dane osobowe wraĪliwe” (Kania, 2017). Z drugiej strony art. 30 ust 5 RODO wskazuje, Īe rejestr czynnoĞci przetwarza-nia bĊdą musieli prowadziü takĪe:

 przedsiĊbiorcy lub podmioty, które przetwarzają dane osobowe osób fizycz-nych, w taki sposób, Īe moĪe to powodowaü ryzyko naruszenia praw lub wol-noĞci tych osób,

 przedsiĊbiorcy lub podmioty przetwarzające dane w sposób niesporadyczny,  przedsiĊbiorcy lub podmioty przetwarzający dane szczególne (tzw. wraĪliwe).

DuĪe wątpliwoĞci interpretacyjne budzą zapisy dotyczące „sporadycznego” spo-sobu przetwarzania, „ryzyka naruszenia praw i wolnoĞci” osób oraz „danych szczegól-nych”. J. Kania-Stachura (2017) uwaĪa, Īe „prawie kaĪdy administrator, który jedno-czeĞnie przetwarza dane osobowe osób fizycznych w związku z prowadzoną dziaáalno-Ğcią gospodarczą, robi to zazwyczaj w sposób niesporadyczny”. Ponadto wiele przy-padków przetwarzania dotyczy danych szczególnych. Autorka podsumowuje swoje rozwaĪania komentarzem: „praktycznie kaĪdy przedsiĊbiorca powinien przestaü zasta-nawiaü siĊ nad tym, czy ma obowiązek prowadzenia rejestru czynnoĞci przetwarzania i po prostu zacząü go przygotowywaü”.

Projekt ustawy o ochronie danych osobowych zakáada zastąpienie Generalnego Inspektora Danych Osobowych nową instytucją – UrzĊdem Ochrony Danych Osobo-wych (UODO). Wynika to z ograniczonych moĪliwoĞci GIODO związanych z nakáada-niem kar i egzekwowanakáada-niem przepisów związanych z ochroną i przetwarzanakáada-niem danych osobowych. UODO uzyska moĪliwoĞü nakáadania wysokich kar. Zgodnie z przepisami RODO mogą to byü:

 10 000 000 euro lub (dla przedsiĊbiorcy) do 2% Ğwiatowego rocznego obrotu,  20 000 000 euro lub do 4% Ğwiatowego rocznego obrotu w przypadku

naru-szeĔ podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9.

Reasumując powyĪsze rozwaĪania z perspektywy maáych i Ğrednich przedsiĊ-biorstw, naleĪy zwróciü uwagĊ na nastĊpujący stan prawny i organizacyjny, który roz-pocznie siĊ 25 maja 2018 roku:

 wszystkie przedsiĊbiorstwa, organizacje i urzĊdy są zobowiązane do ochrony danych osobowych,

 przedsiĊbiorstwa powinny wprowadziü politykĊ bezpieczeĔstwa informacji; polityka ta powinna obejmowaü zabezpieczenia fizyczne, organizacyjne, sprzĊ-towe i programowe,

 naleĪy rozpatrzyü ewentualnoĞü powoáania inspektora ochrony danych osobo-wych,

 naleĪy przeprowadziü analizĊ procesów przetwarzania i w uzasadnionych przypadkach prowadziü rejestr czynnoĞci przetwarzania.

We wspóáczesnych przedsiĊbiorstwach znaczna czĊĞü procesów informacyjnych, w tym procesy przetwarzania danych osobowych, odbywa siĊ w systemie informatycz-nym organizacji. Dlatego teĪ przed rozwiązaniami ICT stawiane są okreĞlone wymaga-nia.

2.RODOasystemyinformatycznewMcP–wybraneaspekty

Podstawowym zadaniem systemów informatycznych w przedsiĊbiorstwach jest obsáuga i wspomaganie procesów biznesowych. W zaleĪnoĞci od specyfiki dziaáalnoĞci gospodarczej, rodzaj i nasycenie rozwiązaniami ITC moĪe wystĊpowaü w róĪnym

stop-niu. Mogą to byü systemy klasy ERP, CRM, workflow, CAD, CAM, WMS itp. Od 25 maja 2018 roku wymagania stawiane systemom informatycznym zmieniają siĊ. Poza merytoryczną obsáugą procesów wskazane jest, aby systemy informatyczne realizowaáy zadania związane z:

 zapewnieniem odpowiednio wysokiego poziomu bezpieczeĔstwa przechowy-wanych danych osobowych, z uwzglĊdnieniem ryzyka przetwarzania,

 wspomaganiem ABI/IOD w tworzeniu rejestrów czynnoĞci przetwarzania,  wspomaganiem ABI/IOD/ADO w tworzeniu raportów i ewentualnym

zgáasza-niem do GIODO/UODO powstaáych incydentów związanych z naruszeniami ochrony danych osobowych,

 informowaniem osób, których dane są przetwarzane o celu, zakresie i czasie przetwarzania, a takĪe informowaniem o sposobie kontaktu z IOD,

 wspomaganiem administratora w realizacji prawa do otrzymania w ustruktury-zowanym, powszechnie uĪywanym formacie nadającym siĊ do odczytu ma-szynowego danych osoby, która je dostarczyáa administratorowi,

 realizowaniem i wspomaganiem prawa do ograniczonego przetwarzania,  realizowaniem i wspomaganiem prawa do bycia zapomnianym.

Obowiązki te wynikają bezpoĞrednio z RODO, projektów ustawy o ochronie da-nych osobowych oraz projektów przepisów wprowadzających ustawĊ. W niniejszym opracowaniu uwaga poĞwiĊcona bĊdzie najistotniejszym aspektom technologicznym: umiejscowieniu serwerowni, systemom ERP i e-handlowi. Lista aspektów, które po-winny byü uwzglĊdnione, jest zdecydowanie dáuĪsza. Powinna obejmowaü: systemy monitoringu, systemy kontroli dostĊpu i innych rozwiązaĔ, w których przetwarza siĊ dane osobowe.

Zapewnienie odpowiedniego poziomu bezpieczeĔstwa przetwarzania danych osobowych, które gwarantuje spójnoĞü danych, ograniczenie moĪliwoĞci ich utraty, usuniĊcia, modyfikacji czy poufnoĞci związane jest z odpowiednio wdroĪoną polityką bezpieczeĔstwa, obejmującą zabezpieczenia fizyczne, organizacyjne i programowe. WiĊkszoĞü systemów informatycznych klasy ERP funkcjonuje w technologii klient– serwer. Polityka bezpieczeĔstwa powinna wiĊc uwzglĊdniaü miĊdzy innymi aspekt umiejscowienia serwerów i serwerowni. „Porównując koszty i uzyskiwane korzyĞci dotyczące wydajnoĞci, bezpieczeĔstwa, dostĊpnoĞci oraz zarządzania infrastrukturą IT, naleĪy podjąü decyzjĊ o optymalnie dobranych Ğrodkach, które bĊdą wchodziáy w skáad systemu przetwarzania danych osobowych. NaleĪy podjąü decyzjĊ, czy powstanie ona w ramach wáasnych zasobów lokalowych i technicznych, czy naleĪy skorzystaü z usáug podmiotów zewnĊtrznych” (Koáodziej, 2017). W przypadku wáasnej serwerowni do obowiązków ADO naleĪy zapewnienie wydajnoĞci oraz odpowiedniego poziomu za-bezpieczenia danych, wykonywania kopii zapasowych itp. W przypadku wykorzystania podmiotów zewnĊtrznych konieczne jest podpisanie z usáugodawcą umowy powierze-nia przetwarzapowierze-nia danych (podobna umowa wymagana jest w przypadku np. usáug out-sourcingu w obszarze rachunkowoĞci).

WiĊkszoĞü polskich dostawców systemów ERP i CRM (np. Macrologic Merit, Comarch Optima, Teta ERP, SAGE Symfonia ERP) oĞwiadcza, Īe ich systemy są go-towe do przetwarzania danych osobowych w sposób zgodny z RODO. Wraz z wejĞciem w Īycie rozporządzenia nie bĊdzie koniecznoĞci instalacji aktualizacji i/lub dodatków. Konieczne jest natomiast zapewnienie bezpieczeĔstwa przetwarzania na poziomie do-stĊpu do systemu (identyfikatory i hasáa) oraz uprawnieĔ. Wielu administratorów sys-temów przypisuje uĪytkownikom zbyt szerokie uprawnienia, co wiąĪe siĊ czĊsto z do-stĊpem do danych osobowych. Zadaniem administratorów, ABI, ADO, IOD jest po-nowna analiza polityki bezpieczeĔstwa w tym obszarze i odpowiednie dziaáania ograni-czające dostĊp.

Nie wiadomo natomiast, w jaki sposób systemy ERP, które dziaáają w oparciu o relacyjne bazy danych, bĊdą realizowaü prawo do ograniczonego przetwarzania oraz prawo do zapomnienia. Caákowite usuniĊcie danych uĪytkownika moĪe siĊ bowiem wiązaü z utratą spójnoĞci baz danych. Systemy ERP nie posiadają równieĪ raportów pozwalających na wyeksportowanie wszystkich danych osobowych wraz z informacją o procesach przetwarzania, na Īyczenie osoby, której te dane dotyczą. PrzypuĞciü moĪ-na, Īe prace nad tymi zadaniami są dopiero prowadzone przez producentów systemów ERP i CRM.

Wiele maáych i Ğrednich przedsiĊbiorstw prowadzi dziaáalnoĞü handlową w inter-necie. E-handel równieĪ wymaga przemodelowania myĞlenia pod kątem RODO. Przede wszystkim ochronĊ danych osobowych naleĪy braü pod uwagĊ juĪ na etapie tworzenia serwisu WWW czy sklepu internetowego, zgodnie z reguáą privacy by design. Jest to proaktywne podejĞcie zakáadające, Īe prywatnoĞü bĊdzie chroniona nie poprzez dodatki do systemu lub nakáadki przygotowane na juĪ istniejące rozwiązania, lecz jest wbudo-wana w jego konstrukcjĊ.

PoniewaĪ RODO nie wskazuje jasno, jakie technologie mają byü w tym celu wy-korzystywane, administratorzy muszą wykazaü siĊ duĪą ostroĪnoĞcią przy doborze narzĊdzi i usáug ICT. W zasadzie kaĪdy sklep internetowy z uwagi na wspomnianą wczeĞniej „niesporadycznoĞü” przetwarzania powinien rozpatrzyü prowadzenie rejestru czynnoĞci przetwarzania. Ponadto naleĪy zwróciü uwagĊ na posiadanie podstawy praw-nej i zgody na przetwarzanie danych. Dotyczy to transakcji, zakáadania konta, zapisu do newslettera itp. Wymaga to udowodnienia záoĪenia takich oĞwiadczeĔ. Dotychczas stosowane przez wiele sklepów internetowych zaznaczenie checkboxa wydaje siĊ byü niewystarczające.

W maáych i Ğrednich przedsiĊbiorstwach komunikacja wewnĊtrzna i zewnĊtrzna odbywa siĊ za pomocą standardowych usáug internetowych: WWW i e-mail. Zgodnie z wytycznymi RODO zaleca siĊ, aby komunikacja ta byáa szyfrowana przynajmniej na poziomie https i ssl.

3.Potencjalnerozwi¦zaniadlasystemówinformatycznychwMSP

Wymagania stawiane systemom informatycznym klasy ERP po wdroĪeniu RODO w wiĊkszoĞci przypadków są juĪ speániane przez duĪych dostawców, w tym np. przez prekursora tego typu oprogramowania – firmĊ SAP. MoĪna siĊ spodziewaü, Īe podobne rozwiązania bĊdą wkrótce pojawiaü siĊ u innych producentów. WĞród przykáadowych narzĊdzi naleĪy wspomnieü SAP UI Masking oraz SAP Data Anonymization.

SAP UI Masking jest narzĊdziem pozwalającym na ukrywanie (maskowanie) okreĞlonych pól i kolumn w bazach danych (SAP, 2017b). Peáne dane są widoczne tylko w uzasadnionych przypadkach i w zaleĪnoĞci od posiadanych uprawnieĔ. W przypadku ochrony danych osobowych maskowaniu podlegaü mogą pola zawierają-ce dane wraĪliwe lub dotyczązawierają-ce informacji pozwalających na jednoznaczne zidentyfi-kowanie osoby. Przykáad maskowania zaprezentowano na rysunku 1.

Rysunek 1. Zastosowanie SAP UI Masking ħródáo: Aleksic (2017).

W przypadku SAP Data Anonymization okreĞlone dane osobowe lub dane wraĪ-liwe nie są maskowane, lecz zamieniane na pseudonim. Istnieje wiele róĪnych sposo-bów tworzenia pseudonimów, np. funkcja haszująca. Przykáad wykorzystania pseudo-nimizacji w systemie SAP zaprezentowano na rysunku 2.

Rysunek 2. Pseudonimizacja w systemie SAP ħródáo: SAP (2017a).

W odpowiedzi na potrzeby polskiego rynku informatycznego powstają projekty, których celem jest powstanie produktu, pozwalającego na implementacjĊ go w postaci

addona w dowolnym systemie klasy ERP. DziĊki temu systemy te byáyby zgodne

pseudonimizacjĊ, realizowaáy prawo do bycia zapomnianym itp. Spodziewaü siĊ moĪna, Īe projekty te ujrzą Ğwiatáo dzienne w pierwszej poáowie 2018 roku.

Podsumowanie

WĞród wielu osób prowadzących dziaáalnoĞü gospodarczą panuje przekonanie, Īe zmiany związane z RODO nie dotyczą maáych i Ğrednich przedsiĊbiorstw. W artykule wykazano, Īe ochrona danych osobowych jest obowiązkiem kaĪdego przedsiĊbiorcy, menedĪera i pracownika. Zgodnie z wymogami rozporządzenia wiele maáych i Ğrednich przedsiĊbiorstw po 25 maja 2018 roku bĊdzie musiaáa powoáaü inspektora danych oso-bowych i/lub rozpocząü prowadzenie rejestru czynnoĞci przetwarzania. Z uwagi na fakt, iĪ wiĊkszoĞü danych osobowych przetwarzanych jest w systemie informatycznym, wskazano, jakie wymagania są stawiane rozwiązaniom ITC, aby odpowiadaáy potrze-bom RODO.

Literatura

Aleksic A. (2017). Protect your sensitive data using SAP HANA’s new dynamic data masking. Pobrano z: https://blogs.sap.com (21.01.2018).

Budziewicz-GuĨlecka, A. (2009). Nowy produkt telekomunikacyjny w aspekcie konwergencji.

Ekonomiczne Problemy Usáug, 35 (cz. 2).

Drab-Kurowska, A. (2013). Polityka konkurencji na rynku e-commerce. Ekonomiczne Problemy

Usáug, 104 (t. 1).

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 paĨdziernika 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepáywu tych danych. Pobrano z: https://giodo.gov.pl/pl/file/2351 (21.01.2018). http://www.wszystkoorodo.pl/rejestr-czynnosci-przetwarzania-cz-ii (21.01.2018).

Kania, R. (2017). Maáe firmy teĪ muszą zabezpieczyü dane osobowe. Rzeczpospolita. Pobrano z: http://www.rp.pl/Firma/303229994-Male-firmy-tez-musza-zabezpieczyc-dane-osobo we.html (21.01.2018).

Kania-Stachura, J. (2017). Rejestr czynnoĞci przetwarzania. Cz. 2. Pobrano z: http://www.wszystkoorodo.pl (21.01.2018).

Koáodziej, M. (2017). Wáasna serwerownia, kolokacja czy hosting? ABIExpert, 3 (4), 33–35. Projekt z dnia 12 wrzeĞnia 2017 r. ustawy o ochronie danych osobowych. Pobrano z:

https://legislacja.rcl.gov.pl (21.01.2018).

Projekt z dnia 12 wrzeĞnia 2017 r. ustawy o ochronie danych osobowych – ocena skutków regu-lacji. Pobrano z: https://legislacja.rcl.gov.pl (21.01.2018).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepáywu takich danych oraz uchylenia dyrektywy 95/46/WE

(ogólne rozporządzenie o ochronie danych). Pobrano z: https://giodo.gov.pl/pl/file/10574 (21.01.2018).

SAP Data Anonymization – FAQ (2017). Pobrano z: http://www.sap.com/data-anonymization (21.01.2018).

SAP UI Data Security (2017). Pobrano z: http://www.sap.com (21.01.2018).

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dz.U. 2016, poz. 922. Pobrano z: https://giodo.gov.pl/pl/file/10984 (21.01.2018).

GENERAL DATA PROTECTION REGULATION. ORGANIZATIONAL AND IT ASPECTS IN FUNCTIONING

OF SMALL AND MEDIUM-SIZED ENTERPRISES

Keywords: GDPR, personal data protection, Business Information System

Summary. This article describes basic aspects of implementation of GDPR in small and

medium-sized enterprises. Large entities usually have extensive legal and IT departments that can adapt their organization to the upcoming changes in a professional way. In smaller organizations GDPR raises anxiety and uncertainty.

The starting point in this article were legal changes, that will be introduced on May 25, 2018. Next, the requirements for IT systems in terms of personal data protection were indicated. The third part of this article indicates potential solutions that are used in GDPR.

Translated by Tomasz Turek

Cytowanie

Turek, T. (2018). Rozporządzenie o Ochronie Danych Osobowych. Aspekty organizacyjno-informatyczne w maáych i Ğrednich przedsiĊbiorstwach. Ekonomiczne Problemy Usáug, 2 (131/1), 379–388. DOI10.18276/epu.2018.131/1-37.